Network World

Как показало тестирование, высокая производительность не всегда соответствует высокому уровню защиты.

Высокопроизводительные системы предотвращения сетевых вторжений (Intrusion-Prevention Systems IPS) обрабатывают мультигигабитный трафик и отводят угрозы от корпоративных сетей. Проблема состоит лишь в том, что они зачастую не способны делать это одновременно.

Мы предприняли лабораторные испытания шести лучших IPS-систем, выпускаемых компаниями Ambiron TrustWave (бывшая Lucid Security), Demarc Threat Protection Solutions, Fortinet, NFR Security, TippingPoint (подразделение 3Com) и Top Layer Networks. Обнаружилось, что их разработчики пошли на многочисленные компромиссы в стремлении одновременно обеспечить приемлемые уровни производительности и защиты. Одни устройства обрабатывали пакеты на скорости физической среды передачи, причем с чрезвычайно малой задержкой, но пропускали в сеть хакерский трафик. Производительность других IPS падала практически до нуля, как только они начинали отражать внешнюю атаку.

В первом раунде тестирования все системы пропустили минимум один вариант атаки. При этом устройство TippingPoint 5000E с первого раза распознало все варианты уязвимостей, кроме одного — наименее явного. Другие системы пропустили довольно простые и опасные атаки, которые приводят к перезагрузке маршрутизаторов и коммутаторов Cisco. Нас это удивило, поскольку мы рассчитывали, что уж с ними-то удастся справиться без труда. В последующем большинство производителей устранили данный просчет.

Если исходить только из значения производительности, первое место следует присудить 5000E производства TippingPoint и IPS 5500 фирмы Top Layer Networks. Продемонстрированные ими значения пропускной способности и задержек передачи характерны скорее для Ethernet-коммутаторов, чем для IPS-систем.

Быстродействие и не только

Естественно, производительность — не единственный параметр, который стоит принимать во внимание, приобретая систему IPS.

Устройство 5000E пропустило небольшое количество вредоносного трафика не только в первом, но и в последующих тестах. Кроме того, в некоторых случаях система отключала регистрацию событий. В принципе, это может оказаться полезным, но другие продукты в том же тесте продолжали вести журнал событий, пусть и за счет снижения скорости обработки трафика.

Система IPS 5500 получила высокие оценки в тестах с трафиком TCP, однако и в данном случае в сеть проникло небольшое число хакерских пакетов. Производитель обосновал это неправильной настройкой брандмауэра.

IPS-системы Demarc и NFR Security используют аппаратные сенсоры фирмы Bivio Networks. Сравнительно невысокую производительность этих устройств можно объяснить неверными настройками конфигурации сенсоров, которые были выявлены уже по завершении испытаний. На заключительном этапе тестирования оба продукта предотвратили все без исключения сетевые атаки.

Ambiron TrustWave и Demarc сделали основой своих разработок ipAngel-2500 и Sentarus IPS программное ядро с открытым кодом Snort. Зафиксированные нами различия в производительности, видимо, связаны с особенностями программного обеспечения и драйверов. Устройство FortiGate-3600 показало неплохие результаты только при благоприятных условиях. Стоило нам увеличить интенсивность сетевых атак, как скорость передачи заметно упала, а время реакции на запросы возросло.

Отметим, что в данном случае мы тестировали производительность, а не степень защищенности сети. В частности, мы не определяли, какие типы хакерского трафика были заблокированы и насколько успешно. Тем не менее каждое устройство пропустило хотя бы одну сетевую атаку, отключило регистрацию событий либо вошло в состояние «ошибочной открытости», в котором через него мог проходить любой трафик.

Это может иметь самые серьезные последствия для применения IPS в реальных сетях. В них повторное тестирование невозможно, а хакеры не предлагают расписания своих действий. К тому же мы использовали смехотворно малое количество уязвимостей — всего три, а интенсивность основанных на них сетевых атак не превышала 16% максимальной пропускной способности (в пакетах/с) тестируемого продукта.

Выбор нами хорошо известных уязвимостей (SQL Slammer, червя Witty и ошибки реализации протокола SNMP в устройствах Cisco) был продиктован тем, что такие «дыры» детально описаны, появились не вчера и относятся к протоколу UDP. Это позволило нам точно регулировать интенсивность сетевых атак при помощи генератора ThreatEx фирмы Spirent.

Сенсоры размещались между другими сетевыми устройствами. Они обеспечивали передачу и мониторинг трафика, проходящего между двумя портами Gigabit Ethernet. При такой топологии возможность мониторинга трафика на высоких скоростях (вплоть до пропускной способности среды передачи) является критически важной. Мы определяли пропускную способность, задержку передачи и время отклика на HTTP-запросы. Как выяснилось, параметры устройств сильно зависят от используемого протокола — TCP или UDP.

Доставшиеся нам разработки имели разную плотность портов. FortiGate-3600 был снабжен одной парой GE-интерфейсов, тогда как IPS 5500 располагал двумя парами портов. На остальных IPS-устройствах имелось по четыре пары портов. Чтобы привести все результаты к единому знаменателю, мы провели тестирование в трех конфигурациях — с одной, двумя и четырьмя парами портов.

Одна пара портов

Только в этих тестах приняли участие все продукты. В контрольном тесте на производительность с «чистым» трафиком TCP (без сетевых атак) устройства компаний Demarc, TippingPoint и Top Layer передавали пакеты со скоростью 959 Мбит/с, т.е. почти на уровне максимально возможного значения (965 Мбит/с). Для 1500 пользователей, одновременно конкурирующих за полосу пропускания, и встроенных средств контроля над скоростью передачи протокола TCP, гарантирующих равноправное обслуживание потребителей, приведенное значение практически не отличается от максимума, который возможен для трафика TCP.

Однако стоило нам сымитировать частые сетевые атаки, производительность большинства устройств резко снизилась. Некоторые из них даже начали пропускать в сеть вредоносный трафик. Единственным исключением стал ipAngel, передававший трафик при высокой интенсивности атак с той же скоростью (а то и быстрее), которая наблюдалась в контрольном тесте.

IPS 5500 пропустил небольшую часть трафика Witty, причем при всех интенсивностях атак — 1, 4 и 16% полной скорости передачи TCP-пакетов. Сотрудники производителя сослались на ошибочную конфигурацию политик бранд?мауэра. По их словам, при использовании политик, принятых по умолчанию, устройство блокирует вредоносный трафик на всех портах, к которым не применена сигнатура червя Witty.

Модель 5000E пропустила часть трафика, относящегося к ошибочной реализации протокола SNMP в оборудовании Cisco при интенсивности атак 4 и 16%, причем даже после двукратного обновления сигнатур. Более того, при самой высокой интенсивности хакерских пакетов на 10 мин была отключена выдача уведомлений (хотя атаки продолжали блокироваться). Представители TippingPoint называют данную функцию «реакцией на чрезмерную нагрузку» и утверждают, что она востребована многими заказчиками, предпочитающими отключать устройства при перегрузке.

Однако, по нашему мнению, это — вопрос выбора политики. Если для предприятия высокая доступность сети важнее ее защищенности, то на первый план выходит возможность продолжать передачу пакетов даже при временном отключении мониторинга сетевых атак. Но не исключено, что при перегрузке параноидально настроенные администраторы предпочтут вообще заблокировать трафик. Продукты TippingPoint и NFR в явном виде предлагают свободу при выборе правил реагирования на перегрузку.

Если говорить об обработке HTTP-запросов, быстрее всех доставлял Web-страницы Sentivist Small Sensor компании NFR — примерно за 144 мс для 11-Кбайт объекта. Это — среднее время, за которое каждый из 1500 пользователей успеет запросить и получить Web-страницу с единственным 11-Кбайт объектом (при отсутствии атак). Сенсор успешно прошел и тесты с одно- и четырехпроцентной интенсивностью атак, хотя время его реакции на запросы оказалось большим, чем у других продуктов в контрольном тесте.

При переходе к 16-процентной интенсивности атак с этим продуктом случилось что-то ужасное: его время отклика увеличилось примерно в 80 раз по сравнению с результатами контрольного теста. Возможно, это был какой-то артефакт, поскольку мы не наблюдали подобного возрастания в тестах с двумя и с четырьмя парами портов. Более того, время задержки возросло лишь при интенсивности вредоносного трафика 60 Мбит/с и только при целенаправленной атаке типа «отказ в обслуживании» (DoS). По окончании тестирования инженеры фирмы NFR сообщили нам, что нашли и исправили ошибку, связанную с перегрузкой ЦПУ.

Среди остальных устройств увеличение времени отклика при генерации атак оказалось минимальным у ipAngel. Это не удивительно, ведь в данном сенсоре установлены восемь двухъядерных процессоров Opteron.

Важно отметить, что все результаты являются средними величинами, полученными за трехминутный период тестирования в стационарном режиме. Естественно, они не позволяют судить обо всей картине: в отдельных тестах изменения параметров в ответ на сетевые атаки было куда более значительным (рис. 1). При максимальной интенсивности атак все устройства снижали скорость передачи, но демонстрировали различия в степени и продолжительности этого «падения».

Рис. 1. Динамика скорости передачи TCP-пакетов при эмуляции атаки

Уменьшение скорости устройства ipAngel оказалось наименьшим, но и оно к концу тестирования продемонстрировало пропускную способность 824 Мбит/с (на 100 Мбит/с меньше, чем в контрольном тесте, — 929 Мбит/с). Система ISP 5500 показала наилучший результат с точки зрения возвращения к первоначальной скорости по окончании атаки, но прежде замедление передачи трафика было очень значительным — более чем на 550 Мбит/с.

Система 5000E при сетевой атаке снижала скорость до 100 Мбит/с (против 400 Мбит/с в контрольном тесте), а остальные продукты — практически до нуля. При этом параметры Demarc и NFR недвусмысленно указывали на перегрузку. Устройство Fortinet начало восстанавливать скорость передачи, но затем вновь ее сбросило.

Все это не могло не сказаться на времени откликов на HTTP-запросы (рис. 2). Оно измерялось с момента выдачи запроса на загрузку Web-страницы до момента ее появления на мониторе клиентского компьютера и составило в контрольных тестах несколько сотен миллисекунд. Однако при наибольшей интенсивности атак время отклика многих устройств измерялось секундами. Наилучшие результаты показали IPS-системы Ambiron TrustWave и Top Layer, обеспечившие небольшое постоянное время отклика.

Рис. 2. Динамика времени обработки пользовательских HTTP-запросов при эмуляции атаки

Полученные результаты свидетельствуют: устройства IPS способны вызвать значительное замедление работы сети, непропорциональное реальной интенсивности вредоносного трафика. По сути, IPS может стать причиной самопроизвольной DoS-атаки. Даже небольшой процент хакерского трафика резко замедляет работу гигабитной сети (с точки зрения передачи Web-контента) и делает ее непригодной для использования файловых и принт-сервисов.

Трафик UDP не столь важен, как TCP, поскольку на него приходится довольно небольшой процент Internet-трафика, попадающего в реальные корпоративные сети. Тем не менее тестирование пропускной способности при передаче UDP-пакетов помогает оценить абсолютные ограничения на передачу данных и возникающие задержки.

Большинство устройств передавали UDP-пакеты средней и большой длины со скоростью, близкой к теоретическому пределу среды передачи. Исключением оказались FortiGate-3600 (производительность составила половину максимально возможного значения) и ipAngel (UDP-пакеты любой длины передавались заметно медленнее, чем трафик TCP). В свое оправдание представители Ambiron TrustWave заявили, что в их аппаратном сенсоре была установлена бета-версия драйвера, а последующие версии позволят достичь заметно большей производительности.

Задержка передачи UDP-пакетов также резко возрастала (нередко в 100 и более раз), стоило нам запустить сетевую атаку. Счастливым исключением стала система ipAngel: передача задерживалась примерно на столько же времени, сколько показал контрольный тест. Видимо, причина кроется в общей скорости передачи UDP-пакетов этим устройством, которая значительно уступает соответствующим показателям других продуктов.

Всем производителям была предоставлена возможность прокомментировать результаты тестирования. В ходе собственных испытаний инженеры TippingPoint обнаружили, что задержка значительно уменьшается при снижении общей сетевой нагрузки со 100 до 95% пропускной способности. Представители Top Layer попросили снизить нагрузку всего на 0,1%, объяснив рост задержек передачи UDP-пакетов рассогласованием системных IPS-часов и тестирующего оборудования.

Снижение сетевой нагрузки действительно может привести к уменьшению задержек, но мы не пошли на поводу у производителей по двум причинам. Во-первых, в стандарте RFC 2544, регламентирующем тестирование производительности сетевых устройств, предписано проводить испытания при максимальной пропускной способности, а не при уменьшенной нагрузке, которая позволяет получить хорошие результаты. Во-вторых, в документации на устройства мы не обнаружили предупреждений пользователям, гласящих, что интенсивность трафика не должна превышать определенной доли суммарной пропускной способности сети.

Две пары портов

На сей раз в контрольном TCP-тесте на первом месте оказалось устройство ISP 5500, хотя TippingPoint 5000E отстало от него незначительно. А вот продукты Ambiron TrustWave, Demarc и NFR передавали TCP-трафик гораздо медленнее, чем в тестах с одной парой портов.

Разработки компаний Top Layer и TippingPoint продемонстрировали наилучшие показатели и при наличии сетевых атак, но к этому стоит отнестись с осторожностью. Во всех трех тестах решение 5000E не смогло заблокировать небольшой объем трафика, использующего уязвимость в реализации Cisco протокола SNMP, а при интенсивности атак 4 и 16% регистрация сетевых событий не производилась. Продукт фирмы Top Layer во всех трех тестах пропустил часть трафика Witty. В обоих случаях проблемы были теми же, что и в испытаниях с одной парой портов: у TippingPoint обнаружились ошибки в сигнатурах, а у Top Layer — в конфигурации брандмауэра.

Среди устройств, полностью заблокировавших хакерский трафик, самыми быстродействующими оказались Sentarus и ipAngel. Первое стало лидером при интенсивности атак 1% и передавало трафик практически с максимальной скоростью. Второе вышло в победители при 4- и 16-процентной интенсивности атак, хотя в этом случае скорости передачи были ниже теоретически возможных значений на 10 и 25% соответственно.

При атаках значительно возросло время отклика на HTTP-запросы, хотя в ряде случаев задержки были меньшими, чем в конфигурации с одной парой портов.

В тестах с UDP-трафиком первые места опять заняли разработки TippingPoint и Top Layer. Они передавали пакеты средней и большой длины со скоростью, близкой к теоретическому максимуму. Результаты тестирования продуктов Demarc и NFR составили примерно половину показателей быстродействия двух предыдущих устройств. Обнаруженное совпадение связано с применением в системах Demarc и NFR одних и тех же аппаратных сенсоров Bivio.

Задержка передачи UDP-пакетов при атаках оказалась большей, чем в контрольных тестах, особенно у Sentarus при 16-процентной интенсивности атак. Однако в целом при двух парах портов задержка росла меньше, чем при использовании одной пары — опять же в связи с распределенной архитектурой процессоров.

Четыре пары портов

Эта конфигурация оказалась для средств предотвращения сетевых вторжений наименее благоприятной. В контрольном TCP-тесте наилучший результат продемонстрировал продукт 5000E фирмы TippingPoint: трафик смеси приложений передавался на скорости 3,434 Гбит/с, что лишь немного меньше теоретического предела (3,8 Гбит/с) среды тестирования. Результат устройства ipAngel — примерно в два раза хуже.

При наличии атак 5000E снова пропустил часть вредоносного трафика, связанного с уязвимостью оборудования Cisco, а при интенсивности атак 16% регистрация событий опять оказалась отключенной. Среди устройств, не имеющих изъянов в отношении безопасности, самым быстрым стало ipAngel. Как и в случае с двумя парами портов, скорости передачи TCP-трафика падали при атаках, зато в сеть не проник ни один потенциально опасный пакет.

У большинства устройств возрастало время реакции на HTTP-запросы, особенно при 16-процентных атаках. Наихудший результат зафиксирован у Senatrus: время реакции выросло с 160 мс в контрольном тесте до 15 с при 16-процентной интенсивности атак. Представители Demarc вспомнили об ошибочной настройке одного из параметров сенсора Bivio, но было уже поздно что-либо исправлять.

В UDP-тестах самым быстрым снова стал продукт TippinPoint. В контрольных испытаниях длинные пакеты передавались со скоростью 4,454 Гбит/с — это самый высокий из зафиксированных нами показателей. То же устройство обогнало конкурентов при передаче коротких и средних по длине пакетов.

Стоило нам «подмешать» в UDP-трафик пакеты, имитировавшие хакерскую атаку, как у ряда устройств задержка резко возросла. Скажем, система 5000E при 1% атак передавала UDP-трафик с 30-секундной задержкой, а кроме того, перестала регистрировать сетевые события. Нечто похожее наблюдалось и у других продуктов. Наименьшие задержки передачи UDP-пакетов в условиях атаки (причем не только при использовании четырех пар портов, но и в остальных конфигурациях) продемонстрировало устройство Sentivist.

Основной наш вывод заключается в том, что обеспечение высокой производительность и высокого уровня сетевой защиты — две совершенно разные цели, которых очень трудно достичь одновременно. Современные устройства IPS можно разбить на две категории: одни передают трафик со значительной скоростью, а другие, не являясь чемпионами по производительности, надежно защищают сеть от вторжений извне. Это означает, что выбор продукта сводится к поиску баланса между достаточной пропускной способностью и приемлемым уровнем сетевой защиты.


Полезность IPS не очевидна

В глазах пользователя основное достоинство любой IPS-системы — способность выполнять те функции, ради которых она была приобретена. Другими словами, она должна поддерживать сетевого администратора в его нелегкой повседневной деятельности. Покончив с производительностью, мы принялись исследовать полезность представленных на наш суд продуктов.

Безусловным лидером оказалось ПО Security Management System фирмы TippingPoint. Под его управлением работает устройство 5000E, производительность которого была выше средней во всех наших тестах. Заслуживают похвал приложение Sentivist Management Platform компании NFR Security, управляющее функционированием устройств Sentivist той же фирмы, и IPS 5500 производства Top Layer Networks: обе разработки удовлетворяют запросам даже самого привередливого администратора.

На другом конце спектра оказались управляющие приложения, поставляемые с сенсорами Sentarus фирмы Demarc, FortuGate-3600 компании Fortinet и ipAngel производства Ambiron TrustWave. Несмотря на удачные (с точки зрения администрирования) находки, во всех трех случаях вам придется приложить неимоверные усилия, чтобы продукты начали работать должным образом.

Впрочем, Demarc и Fortinet предлагают многофункциональные устройства, в которых средства IPS образуют лишь часть общей картины. Так, продукт Fortinet может играть роль брандмауэра, а Demarc создала комбинацию хост-компьютера и сетевого устройства, предназначенную для предотвращения сетевых атак. Возможно, администраторы смирятся с неудобствами, которые сулит им использование продуктов упомянутых компаний, в обмен на дополнительные функции защиты.

Чтобы протестировать работу IPS в распределенной корпоративной среде, мы сформировали сеть VPN между двумя тестовыми лабораториями, расположенными в Калифорнии и Аризоне. При этом использовались средства управления, встроенные в IPS, либо автономные приложения (если таковые поставляются производителями).

Полезность продуктов корпоративной сети оценивалась по пяти категориям: средства настройки конфигурации, функции уведомления, инструментальные панели, позволяющие быстро определить текущее состояние сети, средства ретроспективного анализа сетевых событий (прежде всего, сетевых атак), функции генерации отчетов. Первая категория представляется нам особенно важной, ведь именно со средств настройки конфигурации начинается работа сетевого администратора, и их же он запускает снова и снова, стоит чему-либо измениться в сети, компьютерах или политиках безопасности.


Процедура тестирования

В тестовой сети трафик передавался с мультигигабитными скоростями. Два устройства ThreatEx 2500 компании Spirent имитировали разные типы хакерских атак, а два генератора трафика Avalanche 2500 и пара изделий Reflector 2500 того же производителя обеспечивали различные комбинации почтового, Web-, FTP- и DNS-трафика.

Все сенсоры IPS функционировали в простейшем режиме моста второго уровня, что позволяло им оставаться прозрачными для остальных сетевых узлов. IP-адресация использовалась IPS-системами и выделенными управляющими станциями только для управления сенсорами через специальные порты.

Для пропуска трафика через IPS мы сформировали виртуальную локальную сеть (VLAN) без тэгов, объединившую два коммутатора. Затем незащищенные порты одного коммутатора были подключены к защищенным портам другого. Поскольку IPS был единственным мостовым устройством в тестовой сети, через него проходил весь трафик между защищенными и незащищенными портами. Многие устройства IPS позволяют сформировать несколько пар мостовых портов; в этом случае на каждом коммутаторе мы конфигурировали несколько сетей VLAN.

В контрольных тестах при помощи генераторов трафика Spirent Avalanche мы формировали «смесь» нескольких типов TCP-трафика (и небольшого количества DNS-трафика, состоявшего из UDP-пакетов), после чего измеряли скорость передачи пакетов и время отклика на HTTP-запросы. TCP-тесты имитировали одновременную работу 1500 пользователей, запрашивавших передачу «смеси» трафика HTTP, FTP, SMTP, POP3 и DNS (поверх UDP).

Затем при помощи устройства Spirent ThreatEx мы добавляли в передаваемый трафик 1, 4 и 16% пакетов, имитировавших хакерскую атаку, и повторяли тестирование. При использовании «идеального» устройства такое изменение состава трафика при сохранении его суммарной интенсивности вообще не должно отражаться на параметрах передачи: вредоносный трафик отбрасывается, а оставшиеся пакеты передаются с той же скоростью, которая зафиксирована в контрольном тесте.

В UDP-тестах мы использовали Spirent SmartBits и TRT Interactive для генерации пакетов длиной 64, 512 и 1518 байт, что соответствует минимальному, среднему и максимальному размеру пакетов в сетях Ethernet. Для каждого из этих значений в контрольном тесте оценивались пропускная способность и задержка передачи. Тестирование повторялось после «подмешивания» в передаваемый трафик определенной доли хакерских пакетов — 1, 4 и 16% общего числа.

Поскольку протокол UDP (в отличие от TCP) не обеспечивает механизмов контроля над скоростью передачи собственного трафика, в UDP-тестах мы пропорционально уменьшали интенсивность вредоносного трафика, дабы избежать сетевой перегрузки. Так, если пропускная способность при передаче UDP-трафика составляла 100 пакетов/с, а интенсивность атаки соответствовала 1% общего объема трафика, то мы уменьшали сетевую нагрузку до уровня 99 пакетов/с.


"Устройства IPS: за и против" "Результаты тестирования"

Поделитесь материалом с коллегами и друзьями